Secure Private Accessをクラスターとして展開
Secure Private Access オンプレミスソリューションはクラスターとして展開できるため、高可用性、高スループット、スケーラビリティを実現できます。大規模な展開 (ユーザー数が 5000 人を超える場合など) には、スタンドアロンの Secure Private Access ノードを展開することをお勧めします。
Secure Private Accessノードの作成
-
新しいSecure Private Accessサイトを作成します。詳細については、「 Secure Private Accessサイトのセットアップ」を参照してください。
-
必要な数のクラスターノードをSecure Private Accessサイトに追加します。詳細については、「 既存のサイトに参加してSecure Private Accessを設定する」を参照してください。
-
各Secure Private Accessノードで、同じサーバー証明書を設定します。証明書のサブジェクトの共通名またはサブジェクト代替名は、ロードバランサーの FQDN と一致する必要があります。
-
Secure Private Access の最初のノードを設定するときは、ロードバランサー名を使用してください。後続ノードを追加するには、「統合」タブでデータベースアドレスを指定し、データベーススクリプトを手動で実行します。スクリプトを使用してデータベースをアップグレードする方法の詳細については、「 スクリプトを使用してデータベースをアップグレードする」を参照してください。
ロードバランサー構成
Secure Private Access クラスターのセットアップには、特定の負荷分散構成要件はありません。NetScalerをロードバランサーとして使用している場合は、次の点に注意してください:
- StoreFront へのアクセスに使用されるFQDNは、サブジェクト代替名(SAN)としてDNSフィールドに含まれます。ロードバランサーを使用している場合は、個々のサーバーの FQDN とロードバランサーの FQDN の両方を含めてください。これは SSL 証明書に適用されます。Secure Private Accessには、ロードバランサーを設定すれば十分です。詳しくは、「 NetScalerによる負荷分散」を参照してください。 Secure Private Access を構成する前に、StoreFront ストアを構成する必要があります。ロードバランサーを使用する場合は、ベース URL にロードバランサー名を設定し、HTTPS を使用して安全な通信を行います。詳しくは、「 HTTPSによるStoreFront のセキュリティ保護」を参照してください。
- Secure Private Accessサービスは HTTPS として実行することをお勧めしますが、これは必須要件ではありません。Secure Private Accessサービスは HTTP としても展開できます。
- SSL オフロードまたは SSL ブリッジがサポートされているため、任意のロードバランサー設定を使用できます。SSL ブリッジを使用するときは、各Secure Private Accessノードで同じサーバー証明書を設定してください。また、証明書のサブジェクトの共通名またはサブジェクト代替名 (SAN) は、ロードバランサーの FQDN と一致する必要があります。また、ロードバランサーサービスで SAN を設定する必要があります。
- 正しいSSL証明書がIISサーバーとNetScalerにバインドされています。
- 安全な暗号が使用されます。
- Secure Private Accessサービス (管理とランタイムの両方) はステートレスなので、永続性は必要ありません。
-
ロードバランサー(NetScalerなど)には、バックエンドサーバー用のデフォルトのビルトインモニター(プローブ)があります。Secure Private Access オンプレミスサーバー用にカスタム HTTP ベースのモニター (プローブ) を設定する必要がある場合は、次のエンドポイントを使用できます。
/secureAccess/health
期待される応答:
Http status code: 200 OK Payload: {"status":"OK","details":{"duration":"00:00:00.0084206","status":"OK"}} <!--NeedCopy-->
NetScalerロードバランサーの構成について詳しくは、「 基本的な負荷分散の設定」を参照してください。
Secure Private Access用のモニターを作成
次の CLI コマンドを使用して、Secure Private Access用のモニターを作成します。
add lb monitor SPAHealth HTTP -respCode 200 -httpRequest "GET /secureAccess/health" -secure YES
モニターを作成したら、証明書をモニターにバインドします。
NetScaler UIを使用してモニターを作成する方法について詳しくは、「 モニターの作成」を参照してください。